¡Estándares abiertos sobre vulnerabilidades!

La misión del blogdelciso.com es «Educar sobre Seguridad de la información para [email protected]», bajo esa lógica, es necesario que usemos los términos correctos para referirnos sobre todo a tecnicismos, no todo se llama CVE, a continuación les presento los estándares de vulnerabilidades que existen hoy.

  • CVE: Common Vulnerability Enumeration
  • CWE: Common Weakness Enumeration
  • CPE: Common Platform Enumeration
  • CAPEC: Common Attack Pattern Enumeration and Classification
  • OVAL: Open Vulnerability and Assessment Language
  • CVSS: Common Vulnerability Scoring System

Estándares abiertos

CVE: Enumeración de vulnerabilidad común

CVE es una lista de vulnerabilidades y exposiciones de seguridad de la información que tiene como objetivo proporcionar nombres comunes para problemas conocidos públicamente. El objetivo de CVE es facilitar el intercambio de datos entre distintas capacidades de vulnerabilidad (herramientas, repositorios y servicios) con esta «enumeración común».

CWE: Enumeración de debilidad común

Es un diccionario universal en línea de las debilidades que se han encontrado en los programas informáticos. El diccionario es mantenido por MITRE Corporation y se puede acceder de forma gratuita a nivel mundial.

CPE: Enumeración de la plataforma común

Enumeración de plataforma común (CPE) se especifica un método estructurado para describir e identificar clases de aplicaciones, sistemas operativos y equipos que figuran en los activos informáticos una empresa. La CPE se define a través de un conjunto de especificaciones en un modelo de pila, donde las capacidades se basan en elementos más simples y definidos con más precisión que se especifican en la parte inferior de la pila. La pila consiste en un especificación de diccionario y una especificación de lenguaje de aplicabilidad, que dependen de una especificación de correspondencia de nombre que a su vez depende de una especificación de denominación. 

CAPEC: Enumeración y clasificación del patrón de ataque común

El esfuerzo de Enumeración y Clasificación de Patrones de Ataque Común (CAPEC ™) proporciona un catálogo disponible públicamente de patrones comunes de ataque que ayuda a los usuarios a comprender cómo los adversarios explotan las debilidades en las aplicaciones y otras capacidades habilitadas para el ciberespacio.

Los «Patrones de ataque» son descripciones de los atributos y enfoques comunes empleados por los adversarios para explotar las debilidades conocidas en las capacidades habilitadas para el ciberespacio. Los patrones de ataque definen los desafíos que un adversario puede enfrentar y cómo resolverlos. Se derivan del concepto de patrones de diseño aplicados en un contexto destructivo más que constructivo y se generan a partir del análisis en profundidad de ejemplos específicos de exploits del mundo real.

Cada patrón de ataque captura el conocimiento sobre cómo se diseñan y ejecutan las partes específicas de un ataque, y brinda orientación sobre cómo mitigar la efectividad del ataque. Los patrones de ataque ayudan a aquellos que desarrollan aplicaciones, o administran capacidades habilitadas por cyber para comprender mejor los elementos específicos de un ataque y cómo evitar que tengan éxito.

OVAL: Open Vulnerability and Assessment Language

Es una norma internacional de seguridad de la información para la comunidad que promueve contenidos de seguridad abiertos y disponibles al público, y para estandarizar la transferencia de esta información a través de todo el espectro de herramientas y servicios de seguridad.

CVSS: Sistema común de puntuación de vulnerabilidad

El Sistema de puntuación de vulnerabilidad común (CVSS) proporciona una forma de capturar las características principales de una vulnerabilidad y producir una puntuación numérica que refleje su gravedad. El puntaje numérico puede traducirse en una representación cualitativa (como baja, media, alta y crítica) para ayudar a las organizaciones a evaluar y priorizar adecuadamente sus procesos de gestión de vulnerabilidad.

CVSS es un estándar publicado utilizado por organizaciones de todo el mundo, y la misión de SIG es continuar mejorando.

Fuentes consultadas:

  • https://www.security-database.com/
  • -REC-X.1528-201209-I!!PDF-S.pdf
  • https://capec.mitre.org/about/
  • https://www.security-database.com/about.php?type=cvehttps://www.security-database.com/about.php?type=cve
  • https://www.first.org/cvss/
  • https://www.security-database.com/about.php?type=cvehttps://www.security-database.com/about.php?type=cve

¿Llamabas a todo CVE?

Deja un comentario